Bài 1: GIỚI THIỆU VỀ BẢO MẬT Mô tả những thách thức của việc bảo mật thông tin Định nghĩa bảo mật thông tin và giải thích được lý do khiến bảo mật thông tin trở nên quan trọng Nhận diện các dạng tấn công phổ biến hiện nay Liệt kê các bước cơ bản của một cuộc tấn công Mô tả năm nguyên tắc phòng thủ cơ bản Mục tiêu bài học Mô tả những thách thức của việc bảo mật thông tin Định nghĩa bảo mật thông tin và giải thích được lý do khiến bảo mật thông tin trở nên quan trọng Nhận diện các dạng tấn công phổ biến hiện nay Liệt kê các bước cơ bản của một cuộc tấn công Mô tả năm nguyên tắc phòng thủ cơ bản Bài 1 - Giới thiệu về bảo mật 2 Những thử thách đối với bảo mật thông tin Nhữngsố liệu nổi bật về bảo mật trên thế giới trong thế kỷ 21 Bảo mật cá nhân Bảo mật thông tin Bảo mật thông tin Không có giải pháp đơn giản Nhiều dạng tấn công khác nhau Việc phòng thủ chống lại các cuộc tấn công thường khó khăn Nhữngsố liệu nổi bật về bảo mật trên thế giới trong thế kỷ 21 Bảo mật cá nhân Bảo mật thông tin Bảo mật thông tin Không có giải pháp đơn giản Nhiều dạng tấn công khác nhau Việc phòng thủ chống lại các cuộc tấn công thường khó khăn Bài 1 - Giới thiệu về bảo mật 3 Các cuộc tấn công hiện nay Sức mạnh tính toán ngày càng được nâng cao Giúp cho việc phá mật khẩu dễ dàng Những lỗ hổng phần mềm thường không được vá Các điện thoại thông minh trở thành mục tiêu tấn công mới Bài 1 - Giới thiệu về bảo mật 4 Các cuộc tấn công vào bảo mật hiện nay (tiếp tục) Các ví dụ về những cuộc tấn công gần đây Phần mềm diệt virus giả mạo Được quảng cáo bởi những kẻ lấy trộm thẻ tín dụng Các vụ tấn công ngân hàng trực tuyến Cuộc tranh luận ở Hội nghị về Tin tặc Vụ lừa đảo lệ phí tinh vi mang số hiệu 419 ở Nigeria Một kiểu lừa đảo qua Internet hàng đầu Đánh cắp danh tính nhờ sử dụng Firesheep Phần mềm độc hại Các thiết bị USB đã bị lây nhiễm Các ví dụ về những cuộc tấn công gần đây Phần mềm diệt virus giả mạo Được quảng cáo bởi những kẻ lấy trộm thẻ tín dụng Các vụ tấn công ngân hàng trực tuyến Cuộc tranh luận ở Hội nghị về Tin tặc Vụ lừa đảo lệ phí tinh vi mang số hiệu 419 ở Nigeria Một kiểu lừa đảo qua Internet hàng đầu Đánh cắp danh tính nhờ sử dụng Firesheep Phần mềm độc hại Các thiết bị USB đã bị lây nhiễm Bài 1 - Giới thiệu về bảo mật 5 Các vụ đánh cắp thông tin điển hình trong vòng một tháng Tổ chức Mô tả cách thông tin bị đánh cắp SL danh tính bị lộ Seacoast Radiology, NH Thông tin cá nhân đã bị tiết lộ bởi một vụ vi phạm bảo mật 231.400 DeviantART, Silverpop Systems Inc., CA Những kẻ tấn công đã tiết lộ thông tin của toàn bộ người dùng trong cơ sở dữ liệu. 13.000.000 DeviantART, Silverpop Systems Inc., CA Những kẻ tấn công đã tiết lộ thông tin của toàn bộ người dùng trong cơ sở dữ liệu. Trường đại học tổng hợp bang Ohio, OH Một số cá nhân đăng nhập trái phép và truy cập thông tin về sinh viên và các thành viên của trường. 750.000 Gawker, NY Kẻ tấn công truy cập vào cơ sở dữ liệu, lấy được mật khẩu + e-mail của người dùng và nhân viên. 1.300.000 Bài 1 - Giới thiệu về bảo mật 6 Những khó khăn trong việc phòng thủ chống lại các vụ tấn công Các thiết bị kết nối toàn cầu Sự gia tăng tốc độ của các vụ tấn công Các cuộc tấn công ngày càng tinh vi hơn Các công cụ tấn công ngày càng đơn giản và sẵn dùng Các lỗ hổng được phát hiện nhanh hơn Vá lỗi chậm Việc cung cấp các bản vá còn yếu kém Các vụ tấn công phân tán Người dùng bị bối rối Các thiết bị kết nối toàn cầu Sự gia tăng tốc độ của các vụ tấn công Các cuộc tấn công ngày càng tinh vi hơn Các công cụ tấn công ngày càng đơn giản và sẵn dùng Các lỗ hổng được phát hiện nhanh hơn Vá lỗi chậm Việc cung cấp các bản vá còn yếu kém Các vụ tấn công phân tán Người dùng bị bối rối Bài 1 - Giới thiệu về bảo mật 7 Bảo mật thông tin là gì? Trước khi có thể phòng thủ, bạn cần hiểu: Bảo mật thông tin là gì? Tại sao nó quan trọng? Những kẻ tấn công là ai? Bài 1 - Giới thiệu về bảo mật 8 Định nghĩa bảo mật thông tin Bảo mật (security) Các bước để bảo vệ người hoặc tài sản khỏi mối nguy hại Mối nguy hại có thể do chủ ý hoặc vô ý Phải hy sinh sự tiện lợi để đổi lấy sự an toàn Bảo mật thông tin (information security) Bảo vệ các thông tin ở dạng số hóa: Thông tin cung cấp giá trị cho con người và cho tổ chức Bảo mật (security) Các bước để bảo vệ người hoặc tài sản khỏi mối nguy hại Mối nguy hại có thể do chủ ý hoặc vô ý Phải hy sinh sự tiện lợi để đổi lấy sự an toàn Bảo mật thông tin (information security) Bảo vệ các thông tin ở dạng số hóa: Thông tin cung cấp giá trị cho con người và cho tổ chức Bài 1 - Giới thiệu về bảo mật 9 Định nghĩa bảo mật thông tin (tiếp) Ba hình thức bảo mật thông tin: thường gọi là CIA Sự cẩn mật (Confidentiality) Chỉ những cá nhân được phép mới có thể truy cập thông tin Sự toàn vẹn (Integrity) Đảm bảo thông tin chính xác và không bị thay đổi Sự sẵn sàng (Availability) Những người có quyền đều có thể truy cập được thông tin Ba hình thức bảo mật thông tin: thường gọi là CIA Sự cẩn mật (Confidentiality) Chỉ những cá nhân được phép mới có thể truy cập thông tin Sự toàn vẹn (Integrity) Đảm bảo thông tin chính xác và không bị thay đổi Sự sẵn sàng (Availability) Những người có quyền đều có thể truy cập được thông tin Bài 1 - Giới thiệu về bảo mật 10 [...]... nghĩa bảo mật thông tin (tiếp) Tầng Các sản bảo mật Mô tả phẩm Là hình thức bảo mật vật lý, có thể đơn giản như những chiếc khóa cửa, hay phức tạp hơn như các thiết bị bảo mật mạng Con người Những người cài đặt và sử dụng một cách đúng đắn các sản phẩm bảo mật để bảo vệ dữ liệu Các thủ tục, quy Các kế hoạch và chính sách do tổ chức thiết lập trình để đảm bảo rằng con người sử dụng các sản phẩm một cách... thống khác Sử dụng các công cụ tương tự để tấn công sang các hệ thống khác Làm tê liệt các mạng và thiết bị Bài 1 - Giới thiệu về bảo mật 34 Hình 1-6 Các bước thực hiện một vụ tấn công Bài 1 - Giới thiệu về bảo mật © Cengage Learning 2012 35 Phòng thủ chống lại các cuộc tấn công Các nguyên tắc bảo mật cơ bản Phân tầng Giới hạn Đa dạng Gây khó hiểu Đơn giản Bài 1 - Giới thiệu về bảo mật 36 ... rủi ro phải được giả định Bài 1 - Giới thiệu về bảo mật 16 Hình 1-4 Minh họa các thành phần bảo mật thông tin © Cengage Learning 2012 Bài 1 - Giới thiệu về bảo mật 17 Các thuật ngữ bảo mật thông tin (tiếp tục) Các lựa chọn để đối phó với rủi ro Chấp nhận rủi ro Cần biết rằng mất mát có thể xảy ra Làm giảm rủi ro Thực hiện các biện pháp phòng ngừa Hầu hết các rủi ro bảo mật thông tin đều có thể được phòng... nghĩa bảo mật thông tin (tiếp) Các biện pháp cần thực hiện để bảo mật thông tin Sự xác thực (authentication) Đảm bảo một cá nhân đúng như những gì họ khai báo Sự ủy quyền (authorization) Cấp phép truy cập thông tin Ghi chép (accounting) Cung cấp khả năng theo dõi các sự kiện Bài 1 - Giới thiệu về bảo mật 11 Hình 1-3 Các thành phần bảo mật thông tin © Cengage Learning 2012 Bài 1 - Giới thiệu về bảo mật. .. (GLBA) Đạo luật khai báo vi phạm bảo mật cơ sở dữ liệu của bang California (2003) Bài 1 - Giới thiệu về bảo mật 21 Hiểu rõ tầm quan trọng của bảo mật thông tin (tiếp) Duy trì sản xuất Việc khắc phục hậu quả sau khi bị tấn công làm lãng phí các tài nguyên Thời gian và tiền bạc Bảng 1-6 Chi phí của các cuộc tấn công Bài 1 - Giới thiệu về bảo mật 22 Hiểu rõ tầm quan trọng của bảo mật thông tin (tiếp) Đẩy lui... các sản phẩm một cách chính xác Bảng 1-3 Các tầng bảo mật thông tin Bài 1 - Giới thiệu về bảo mật 13 Các thuật ngữ bảo mật thông tin Tài sản (Asset) Là phần tử có giá trị Mối đe dọa (Threat) Là các hành động hoặc sự kiện có khả năng gây nguy hại Tác nhân đe dọa (Threat agent) Người hoặc phần tử có sức mạnh gây ra mối đe dọa Bài 1 - Giới thiệu về bảo mật 14 Các tài sản công nghệ thông tin Tên thành... (Cyberterrorist) Bài 1 - Giới thiệu về bảo mật 25 Hacker Hacker (tin tặc) Những người sử dụng kỹ năng máy tính để tấn công các máy tính Thuật ngữ không phổ biến trong cộng đồng bảo mật Hacker mũ trắng (white hat hacker) Mục đích chỉ ra các lỗ hổng bảo mật Không đánh cắp hoặc làm hỏng dữ liệu Hacker mũ đen (black hat hacker) Mục đích gây hại và hủy diệt Bài 1 - Giới thiệu về bảo mật 26 Kẻ viết kịch bản... dụng chung các bước cơ bản Để bảo vệ máy tính khỏi bị tấn công: Làm theo năm nguyên tắc bảo mật cơ bản Bài 1 - Giới thiệu về bảo mật 33 Các bước của một vụ tấn công Chứng nghiệm thông tin Ví dụ như loại phần cứng hoặc phần mềm được sử dụng Thâm nhập các tuyến phòng thủ Bắt đầu tấn công Sửa đổi các thiết lập bảo mật Cho phép kẻ tấn công xâm nhập trở lại hệ thống bị hại một cách dễ dàng Vòng sang các hệ... ro sang một người khác Ví dụ: mua bảo hiểm Bài 1 - Giới thiệu về bảo mật 18 Hiểu rõ tầm quan trọng của bảo mật thông tin Phòng ngừa đánh cắp dữ liệu Bảo mật thường đi đôi với việc phòng ngừa đánh cắp dữ liệu Đánh cắp dữ liệu kinh doanh Thông tin về quyền sở hữu Đánh cắp dữ liệu cá nhân Mã số thẻ tín dụng Bài 1 - Giới thiệu về bảo mật 19 Hiểu rõ tầm quan trọng của bảo mật thông tin (tiếp) Cản trở việc... loạn tinh thần Kích động bạo lực Gây ra thảm họa tài chính Bài 1 - Giới thiệu về bảo mật 23 Hiểu rõ tầm quan trọng của bảo mật thông tin (tiếp) Những mục tiêu tấn công của khủng bố tin học Ngân hàng Quân đội Năng lượng (các nhà máy điện) Giao thông (các trung tâm điều khiển hàng không) Các hệ thống cấp nước Bài 1 - Giới thiệu về bảo mật 24 Những kẻ tấn công là ai? Phân loại những kẻ tấn công Hacker . đúng đắn các sản phẩm bảo mật để bảo vệ dữ liệu Bài 1 - Giới thiệu về bảo mật 13 Bảng 1-3 Các tầng bảo mật thông tin Những người cài đặt và sử dụng một cách đúng đắn các sản phẩm bảo mật để bảo vệ. định Bài 1 - Giới thiệu về bảo mật 16 Bài 1 - Giới thiệu về bảo mật 17 Hình 1-4 Minh họa các thành phần bảo mật thông tin © Cengage Learning 2012 Các thuật ngữ bảo mật thông tin (tiếp tục) Các lựa. khả năng theo dõi các sự kiện Bài 1 - Giới thiệu về bảo mật 11 Bài 1 - Giới thiệu về bảo mật 12 Hình 1-3 Các thành phần bảo mật thông tin © Cengage Learning 2012 Định nghĩa bảo mật thông tin (tiếp) Tầng